2017년 1분기 정보보안 소식입니다.

4월에 끝냈는데 이제 공개 합니다.


1분기에도 랜섬웨어 이슈가 컸습니다.



2017년 1분기 정보보안 소식_20170528_차민석_공개판.pdf


저작자 표시
신고

'악성코드 > Slide' 카테고리의 다른 글

2017년 1분기 정보보안 소식  (0) 2017.05.28
[발표자료] 2016년 4분기 주요 정보보안 소식  (0) 2017.01.01
Posted by mstoned7

댓글을 달아 주세요


* 세계 최초 컴퓨터 바이러스 중 하나

세계최초 컴퓨터 바이러스 얘기 중에 빠지지 않는 바이러스가 Richard Screnta 의 Elk Cloner 바이러스입니다. 1981년 8비트 애플2 컴퓨터용으로 제작되어 1982년 퍼집니다. 1986년 제작된 브레인 바이러스보다 5년 정도 빠릅니다. 하지만, 애플2는 8 비트 컴퓨터로 현재 흔히 PC라 불리는 IBM PC와는 다릅니다. 따라서, 기준에 따라 최초의 컴퓨터 바이러스는 Elk Cloner 혹은 브레인 바이러스가 되기도 합니다.

1990년 제작자가 직접 글을 남기기도 했습니다.

http://www.skrenta.com/cloner/clone-post.html


* 감염 디스크와 소스코드

제작자는 자신의 홈페이지에 감염 디스크와 소스코드를 올려두었습니다.

* 소스코드 : http://www.skrenta.com/cloner/clone-src.txt

설명하나 없는 어셈블리 코드를 보면 사실 막막합니다. 인텔 어셈블리는 알지만 6502 어셈블리는 모르니 명령어를 보고 이게 어떤 의미일까 대충 예상만 했죠. 

감염 디스크 이미지도 올라와 있어 애플 에뮬레이터에서 실행해 봤지만 다른 디스크로 감염이 안되더군요. 그렇게 지난 몇년 동안 디스크 이미지를 가지고만 있었습니다.


Elk Cloner 소스코드Elk Cloner Source Code



* 분석

어느날...
이 애플2 컴퓨터 바이러스가 생각났고 주말에 시간이 좀 나서 한번 볼까 합니다.
그렇게 토요일 오후와 일요일 동안 소스코드를 하나하나 따라가며 주석도 달기 시작합니다.
덕분에 기본적인 6502 어셈블리, 애플 2 메모리 구조, CALL-151 명령, DOS 3.3 구조도 조금씩 알게되었습니다.

Elk Cloner virus analysis Elk Cloner virus analysis




* 변조된 DOS 3.3 = 바이러스 코드

많은 자료에 이 바이러스는 부트 바이러스라고 합니다. 그래서 MS-DOS에서 부트 바이러스와 비슷한 구조가 아닐까 생각했는데 다르더군요. 제 생각에 부트 바이러스 보다 MS-DOS의 시절 도스 커널을 감염 시키는 바이러스나 요즘의 부트킷(Bootkit)의 선조격이라고 해야하지 않을까 합니다.

애플 DOS 3.3에서 INIT 명령으로 디스크를 포맷할 때 DOS 3.3도 같이 설치됩니다. MS-DOS 시절 포맷 명령에 /S를 해서 부팅 디스크를 만드는 것과 동일하다고 생각하면 됩니다.

감염 전과 감염 후 디스크 이미지를 비교하면 부트 레코드는 변한게 없습니다. 다만 DOS 3.3 코드 일부분이 패치되어 있습니다. (4C 00 9B는 JMP 9B00입니다.)



실제 바이러스 메인 코드는 DOS 3.3에서 사용하지 않는 디스크 영역에 보관된다고 합니다.

감염 전과 감염 후를 비교하면 빈영역에 바이러스 코드가 존재하는걸 알 수 있습니다.



부팅한 DOS 3.3 자체가 바이러스이기 때문에 별도의 메모리 상주를 할 필요는 없습니다.

바이러스 감염 여부는 CALL-151로 모드를 변경하고 9000L로 9000 주소를 디스어셈블해보면 됩니다.

깨끗한 DOS 3.3으로 부팅하면 9000 번지에 별다른 내용이 없습니다.
- 시스템에 따라 다를 수 있습니다.

정상 DOS 3.3


하지만, 감염된 디스크로 부팅하면 02 (바이러스 버전)과 [004C]주소에 0xFF 값을 넣는 바이러스 초반부 코드를 볼 수 있습니다.

바이러스 감염 디스크로 부팅



* DOS 3.3 메모리 변조

바이러스는 베이직 코드를 실행하는 RUN 코드를 패치하고 베이직 로드 (LOAD), 기계어 로드(BLOAD), 파일 목록보기(CATALOG)를 후킹합니다.

이외 사용자 정의 코드도 가집니다. 사용자 정의 코드를 어떻게 실행하는지는 아직 잘 모르겠네요.

CATALOG 후킹 방식을 살펴보겠습니다

우선 DOS 3.30에서 CATALOG 명령 입력 하면 0xA56E 주소 코드가 실행된다고 합니다. 바이러스는 해당 주소에 바이러스로 점프하는 코드를 넣습니다.

메모리 변조 코드를 보면 0xA56E 부터 0xA570에 0x4C, 0xB6, 0x90 코드를 넣는걸 볼 수 있습니다.


정상적인 DOS 3.3의 0xA56E 코드는 아래와 같습니다.


하지만, 감염된 시스템은 CATALOG 명령을 입력하면 0x90B6으로 점프 합니다.


0x90B6으로 가면 원래 감염 여부 확인을 하고(JSR $9074) 원래 CATALOG 명령 (LDA #$06, JSR $A2AA ...)을 그대로 수행합니다.


후킹이라고 생각한 부분에서 원본 코드 백업을 안해서 의아했는데 원래 DOS 3.3 의 코드를 아예 가지고 있더군요.
당시에는 DOS 3.3을 대부분 사용했으니 큰 무리가 없었겠죠.
 
MS-DOS 시절 특정 버전에서만 동작하는 Tenbytes 바이러스와 유사하다고 볼 수 있겠죠. 따라서, 이 바이러스는 DOS 3.3 에서만 활동하고 다른 버전이나 변형된 DOS 3.3에서는 오동작 할 수 있을 겁니다.


* 감염

소스코드를 보면 CATALOG 명령 등으로 디스크를 읽을 때 바이러스가 감염되어야 합니다. 하지만, 어떤 이유에서인지 제대로 감염되지 않네요.

아직 제가 애플 디버깅에 익숙하지 않아서 원인을 파악하지 못했습니다.

강제로 감염 시키려면 CALL-151 후 감염 시킬 디스크를 넣고 90DAG 하면 감염 루틴이 실행되고 디스크는 바이러스에 감염됩니다.

이부분을 성공했을 때 정말 눈물(?) 나더군요.
감염 디스크를 만들기 위해 몇년을 기다렸던가 !!!!!!!

* 증상

많은 분석 내용을 보면 50 번 부팅 때 마다 메시지를 출력한다고 되어 있습니다.
하지만, 분석해보면 감염된 디스크로 부팅 횟수에 따라 다른 증상이 존재합니다.

  10 회 (0x0A) : [03F2.03F3] = 0x69FF  저장
  15 회 (0x0F) : [0032] = 3F - INVERSE Mode
  20 회 (0x14) : LDA $C030 3회 - beep 음
  25 회 (0x19) : [0032] = 7F - 반짝 반짝 모드
  30 회 (0x1E) : CATALOG 명령 수행 할 때 파일 종류 (I, T, B, A) 순서 변경해 타입이 이상하게 나옴
  35 회 (0x23) : [AAB2] = 0x85
  40 회 (0x28) : AUTOSTART ROM RESET routine address 내용 변경
  45 회 (0x2D) : [00D6] = 0x80
  50 회 (0x32) : 메시지 출력
  55 회 (0x37) : [BD03] = FF RWTS main entry
  60 회 (0x3C) : [BD03] = 0x20
  65 회 (0x41) : [A180.A182] = 4C 69 FF (JMP FF69)
  70 회 (0x46) : [BD03] = 0x10
  75 회 (0x4B) : JMP $C600 (재부팅 됨)
  76 회 (0x4C) : JMP $C600 (재부팅 됨)
  77 회 (0x4D)  : JMP $C600 (재부팅 됨)
  78 회 (0x4E)  : JMP $C600 (재부팅 됨)
  79 회 (0x4F) : [B3BF] = 00 ... [B3BF]는 부팅 횟수로 이 값이 초기화됨

헉... 정말 많습니다.

주소에 데이터 넣는건 애플 레퍼런스를 참조하면 될텐데 아직 정확한 의미는 못 찾았습니다.
- 귀찮기도 하고...

15번 째 부팅하면 INVERSE MODE가 됩니다.



79번째 부팅하면 부팅 횟수 카운터가 0 이되기 때문에 80 번째 부팅하면 감염 초기와 같습니다. 따라서 95 회 때 INVERSE Mode, 대략 130 번째 부팅 때 메시지가 출력 됩니다. 50 번 부팅 할 때 마다 메시지 출력은 잘못된 분석입니다.

그런데 감염 디스크로 이런 저런 증상을 확인했는데 50번째 부팅 했을 때 메시지는 안나타나더군요.
- 어떤 행위가 있을 때 증상이 나타난다고 하는데 다음에 시간되면 한번 분석해 봐야겠습니다.
결국 CALL-151로 들어가서 92FFG로 강제 실행해서 그렇게 보고 싶었던 메시지를 봅니다.

ELK CLONERELK CLONER message



* 미해결 사항

언제 시간이 될 때 다음 사항을 확인해 보고 싶습니다.


 1. 변경되는 나머지 주소의 목적
 2. 자세한 디스크 감염 알고리즘
 3. CATALOG 명령 등으로는 감염 안되는 원인 
 4. 50 번 째 부팅 때 메시지가 출력 안되는 원인
 5. 바이러스가 만든 유저 명령 수행

- 혹시 아시는 분은 연락주셔도 됩니다 ^^


* 맺음말

1980년대 초 제작된 바이러스를 분석해 봤습니다.
오랫만에 정말 재미있게 분석해 봤네요. 역시 90년대 이전 샘플 분석이 재미있습니다.

바이러스 분석 덕분에 간단하지만 6502 어셈블리와 애플2 컴퓨터 내부도 공부했습니다.
(추가 : 최초 글 쓰고 5년 지난 2017년 현재... 명령 거의 잊어버렸네요 TT)

컴퓨터 바이러스라는 개념이 존재하기도 전에 이런 코드가 만들어 졌다니 신기하면서도 현재 악성코드에서 사용되는 기법이 이때도 사용되고 있다는걸 알 수 있었습니다.


신고
Posted by mstoned7

댓글을 달아 주세요

  1. 영상 2012.03.26 08:06 신고  댓글주소  수정/삭제  댓글쓰기

    애플2 빌려주리????ㅋ

    본체만 남아있음..ㅋ

    • mstoned7 2012.03.26 08:50 신고  댓글주소  수정/삭제

      와... 보물을 가지고 있다니 ! 몇몇 사람들은 추억으로 옛날 컴퓨터를 사기도 하더만... 난 그냥 에뮬레이터로 만족 ㅎㅎ

  2. crattack 2012.03.26 10:20 신고  댓글주소  수정/삭제  댓글쓰기

    고생 하셨을꺼 같네요.
    엄청난 내용이네요.

    감사히 잘보고 가겠습니다. ( _ _)

  3. 영상 2015.11.04 06:46 신고  댓글주소  수정/삭제  댓글쓰기

    애플6 빌려줄리????ㅋ


    본체만 남아있음..ㅋ

  4. crattack 2015.11.04 06:47 신고  댓글주소  수정/삭제  댓글쓰기

    고생 하셨을꺼 같네요.
    엄청난 내용이네요.


    감사히 잘보고 가겠습니다. ( _ _)

  5. 쿨캣 2015.11.05 06:39 신고  댓글주소  수정/삭제  댓글쓰기

    와... 보물을 가지고 있다니 ! 몇몇 사람들은 추억으로 옛날 컴퓨터를 사기도 하더만... 난 그냥 에뮬
    레이터로 만족 ㅎㅎ

  6. 쿨캣 2015.11.05 06:40 신고  댓글주소  수정/삭제  댓글쓰기

    엄청난 내용까지는 아니고.. 흥미로운 내용이긴 합니다 ㅎㅎ

첫 설치 제품은 방화벽 프로그램인 아웃포스트 (Outpost)로 유명한 러시아의 Agnitum 입니다.


http://www.agnitum.com/index.php


Yandex가 2015년 Agnitum를 인수했습니다. 별도로 제품을 공개하지는 않고 얀덱스 브라우저에 들어가게 되었습니다. 2017년 1월 9일까지 지원 한다고하네요.



그래서 지원 종료 전에 기록을 남기기 위해 설치해 봤습니다.


* 설치


32 비트와 64 비트 설치 파일이 존재하고 당연히 32 비트 설치판은 64 비트 시스템에서 설치되지 않습니다.


2017년 1월까지 지원되어서 더 이상 공식 홈페이지에서 설치 파일을 다운로드 할 수 없어 인터넷에서 설치판을 구했습니다


7.1의 설치 화면입니다.




8.0 설치 후 업데이트 화면입니다

업데이트 시간이 꽤 오래 걸립니다. 몇 년 치를 업데이트해서 그렇겠죠.




바이러스버스터 시그니처 파일 업데이트 중입니다.





* UI


7.1의 화면입니다.




8.0의 화면입니다.



기능을 살펴보다가 애플리케이션 별로 룰을 설정하는게 있네요.









* Engine


아웃포스트는 헝가리 바이러스버스터(Virusbuster) 엔진을 사용합니다. 바이러스버스터는 2012년 개발이 중단되고 명맥이 끊길 줄 알았는데 Agnitum에서 관련 기술을 인수해서 계속 개발을 진행했습니다.


7.0에서는 VirusBuster가 디지털 서명에 있지만 8.0에서는 Agnitum 으로 변경되었네요.



하지만, 여전히 VirusBuster의 흔적을 찾을 수 있었습니다.




 

저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요


바이러스블루틴(Virus Bulletin)의 VB100 테스트를 보다가 모르는 백신 프로그램이 너무 많아졌네요.


https://www.virusbulletin.com/testing/vendors/active/vb100-antimalware





이 프로그램을 한번 테스트 해봐야겠다는 생각이 들었습니다


시간 날 때 틈틈히 테스트 해봐야겠네요.


- 테스트 환경 : VMware 12 내 한글 Windows 7 64 비트 버전



저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

[발표자료] 2016년 4분기 주요 정보보안 소식


오랫만에 포스팅 하네요.

발표자료를 계속 만들긴 했지만 블로그 작업을 자주 못하니 보니 (...)


2016년 4분기 주요 정보보안 소식_20170101_차민석_공개판.pdf


2016년 4분기에는 국내 이슈 보다 외국 이슈가 더 많았습니다.

IoT 를 이용한 DDoS 공격, 미국 대선 개입 의혹 등


러시아의 미국 대선 개입 의혹은 관련 악성코드도 공개되었으니 2017년 1분기 때 한번 파 봐야겠네요.


http://www.slideshare.net/JackyMinseokCha/2016-4-20170101


저작자 표시
신고

'악성코드 > Slide' 카테고리의 다른 글

2017년 1분기 정보보안 소식  (0) 2017.05.28
[발표자료] 2016년 4분기 주요 정보보안 소식  (0) 2017.01.01
Posted by mstoned7

댓글을 달아 주세요

7월 말 인터넷 쇼핑몰 I사 해킹이 알려졌습니다.

언론에서는 APT 공격이며 따라서 막기 어려운 혹은 막을 수 없다고 보도 했습니다.

(심지어 APT 공격을 메일을 이용한 공격 이라는 등의 잘못 된 내용으로  보도 한 경우도 있습니다.)


- 인터파크, 해킹으로 고객정보 1030만건 유출… 미래부, 조사단 구성(종합)

http://biz.chosun.com/site/data/html_dir/2016/07/25/2016072502153.html 



- 인터파크, APT해킹에 1030만명 개인정보유출… '2차피해' 우려

http://mnb.moneys.news/mnbview.php?no=2016072618018023326



우선  APT 공격이 맞을까요 ?


APT 는 'Advanced persistent threat'로 '지능적 지속 위협' 정도로 번역할 수 있겠네요.


일단 ITWorld 의 기사를 참고하면 APT 공격의 기준이 제각각임을 알 수 있습니다.


- APT(Advanced Persistent Threat) - ITWorld 

http://www.itworld.co.kr/news/95741


우선 Advanced ... 지능적 측면에서 보겠습니다.
이번 공격을 보면 악성코드를 포함한 scr 파일을 보냈다고 합니다. 이건 이미 10 년 전 부터 흔히 사용되는 공격 방식으로 새로운 방식으로 보기는 어렵습니다. 물론 Advanced 가 꼭 기술적으로 뛰어나야 하고 새로워야 하는가 논란이 있을 수 있습니다. 첨부 파일 SCR 파일은 보안 정책에서 메일로 차단 할 수도 있고 메일 받는 사람이 실행 파일이라 함부러 열지 않을 수 있습니다. 이에 공격자는 아마도 동생 컴퓨터도 해킹 해 동생이 보낸 것처럼 가장했을 겁니다. 이 역시 사회공학기법으로 새로운건 아닙니다.


Persistent ... 지속성

얼마나 집요하게 공격했는지는 알 수 없습니다. 한번에 성공했을까요 ? 두 번 ? 세번 ? 어디 정도 해야지 지속적인 공격일까요 ?


개인적으로는 현재 APT 공격은 대부분 마케팅적 용어라는 생각이 들고 오히려 이런 공격을 표적공격(Targeted Attack)으로 봐야 할 듯 합니다.


어쩌다보니 APT 공격은 해킹 당한 업체에는 막을 수 없었다는 일종의 면제부가 되고 보안 업체들에게는 마치 새로운 위협인 것 처럼 홍보하고 제품 팔고 있는게 현실입니다.


APT 공격 정의를 다소 완화해도 악성코드를 이용한 APT 공격의 상당수는 과거 존재했던 방식과 크게 다르지 않습니다. 어렵지 않은 방식으로도 해킹이 가능하다면 공격자가 굳이 어렵게 공격할 필요는 없겠죠.


최근 랜섬웨어에 의한 피해가 증가하고 있습니다. 그렇다면 해당 기업들은 다른 악성코드 위협에도 똑같이 노출되었다고 볼 수 있습니다. 과거에는 악성코드에 감염되어도 눈에 띄는 증상이 없고 랜섬웨어는 바로 피해를 알 수 있기 때문에 피해가 더 크게 느껴질 수 있습니다.


아쉽게도 대부분의 기업은 APT 공격 같은 대단한(?) 공격이 아닌 일반적인 악성코드 공격에도 대부분 무너 질 수 밖에 없는 구조를 가지고 있습니다.


ps.


현실세계에서 APT와 비교할 수 있는 좋은 사례입니다.

원래 APT 용어와 비교하려면 이 정도 예상하지 못한 공격이어야 하지 않을까 합니다.



저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요


저의 첫 책이 세상에 나옵니다.


- 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기

http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1




보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.

그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...

살짝 부끄럽네요 ㅋ






많이 팔렸으면 좋겠네요 ㅋㅋ



저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 2016.07.08 02:09  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 애뽀 2016.07.25 16:22 신고  댓글주소  수정/삭제  댓글쓰기

    저 책은 꼭사봐야겠네요!

  3. 컴도사 2016.08.10 13:15 신고  댓글주소  수정/삭제  댓글쓰기

    우와
    존경합니다!~^^

파이어아이가 2016년 침해사고 대응 서비스를 실시한다고 합니다.




- 파이어아이, 내년 국내 침해사고대응서비스 진출 (ZDNet, 2015년 12월 18일자)

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151218114315


그동안 국내에는 침해사고 조사 시장이 거의 없었는데 파이어아이의 진출이 어떤 결과를 가져올지 자뭇 궁금합니다.

국내 업체들이 몇년간 시장을 만들기 위해 노력했지만 사실상 실패했는데 외국 업체를 통해 시장이 형성될까요 ?


만약 외국계 업체에서도 제 값을 받지는 못하고 국내 보안업체에도 기본적으로 원하는 사안이 된다면 국내 업체들에게는 부담이 될 수도 있을 듯 합니다.


침해사고 대응 서비스 진출 소식을 사람들(업계)에 전하니 "사람 뽑는데요 ?"하는 얘기를 하더군요 ㅋ


과연 인력은 어떻게 확보할 것인가하는 의문이 들었는데...

크게 두가지로 논의되었습니다.


1. 국내 채용

2. 미국 본사 지원


중... 모두 틀리고 일본 지사 직원 5명이 지원하는 걸로 기사에는 떴습니다.


- 글로벌 보안 기업 사세 확장 왜? (전자신문, 2015년 12월 21일자)

http://www.etnews.com/20151221000206


개인적으로는 국내에서 채용하지 않고 본사에서 지원하는 형태가 되지 않을까 싶었습니다.

일단 국내에는 제대로된 시장이 없는 상황에서 무작정 분석 인력을 채용하는건 문제가 있겠죠.


국내에 진출한 외국 업체들이 연구인력을 한국에 두지 않거나 최소 인력을 두는건 매출이 그만큼 나오지 않기 때문이겠죠.


하지만, 본사 지원을 생각했던 사람들도 문화적, 언어적 측면에서 미국 본사에서 지원하는건 한계가 있지 않을까하는 생각을 많이 한듯 합니다. 

다행히(?) 지리적, 문화적으로 가까운 일본 지사 사람들이고 그중 2명은 한국인이라고 합니다.


내년 파이어아이의 국내 침해사고 대응 서비스가 어떤 결과를 가져올지 지켜봐야겠습니다.




저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요


2015년 8월 17일 SERICEO 홈페이지 [경영에 보안을 입히다] 시리즈 중 '악성코드, 당신의 컴퓨터를 노린다'가 올라갔습니다.





동영상이 올라간 후 회사 여러분이 동영상 잘 봤다고 말씀하시더군요.

모 상무님은 직접 동영상을 틀어주셨는데 민망해서 제대로 못봤습니다. (동영상으로 자신의 모습을 보는건 참 부끄러운 일입니다.)





시작은 2015년 5월 정도로 기억하는데 SERICEO에 보안과 관련된 동영상을 올리기로 결정되고 몇 번의 회의로 업체별로 주제가 선정되고 글을 쓰고 교정을 거쳤습니다.


저의 글은 경영자가 알아야 할 악성코드에 대한 일반적 사항과 대처법입니다.


그렇게 준비해서 2015년 7월 촬영을 했습니다.

파란색 배경에서 2시간 정도 고생해서 동영상 촬영을 마무리했죠.

제가 쓴 글을 제가 읽는데 막 버벅 거렸습니다.

- 너무 쉽게 생각했다고나 할까요...


모든걸 잊고 지내던 8월 담당 PD님으로 부터 문자가 옵니다.


손을 너무 떨어 재촬영 해야겠다고 하네요 (털썩...)

외부 발표도 많이하고 TV 인터뷰도 종종해서 긴장을 많이 안할 줄 알았는데 

결혼식 축가 부를 때만큼 손을 엄청 떨었나 봅니다.


결국 재촬영했고 초반에 약간 떨다가 손을 자유롭게 하면서 무사히 촬영 완료해서 1시간 정도 만에 촬영 끝 !


교훈이라면..

역시 방송은 아무나 하는게 아니라는 점 입니다.




저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 2015.11.28 15:16  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다


모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다.




해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.

매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요.


하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다.


일단 오타도 보이네요. 

(금융사긴집단, 잇는지, 개설되셧는지)



그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요.





'02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.

(http://cafe.naver.com/weathermasterlab/121002)


  

좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.

피싱이 점점 진화해 문자에 이어 이제 첨부 파일로도 오네요.

(외국에서는 흔한 수법이긴 합니다.)



저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 2015.06.20 14:45 신고  댓글주소  수정/삭제  댓글쓰기

    저도 와서보니 ㅋ 같은 분이 있네요

  2. zz 2015.06.22 13:05 신고  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다~ㅋ

  3. 효효 2015.06.23 10:55 신고  댓글주소  수정/삭제  댓글쓰기

    저는문자로왓네요ㅋㅋ

  4. 증증습 2015.06.23 12:16 신고  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다.
    전 첨부파일은 아니고 그냥 내용이 텍스트로 적혀 있는데 내용이 비슷하네요.
    거기다가 결정적으로 법무부장관 권재진 이라고 왔는데 이분 현 법무부 장관도 아닌데...

  5. ㅠㅠ 2015.06.23 12:37 신고  댓글주소  수정/삭제  댓글쓰기

    저도 똑같이 메일 받았습니다.. 몇일전에 온건데 오늘 이메일 확인해보니 이게 뭔가싶어서 검색해보니..
    보이스피싱 이메일이었군요.. 방금 막 검찰청 찾아보고 그러는 중이었어요 ㅋㅋ 누군가 제껄 도용했나 싶기도하고.. 확인 잘 하고갑니다 !

  6. Ec0nomist 2015.06.23 23:38 신고  댓글주소  수정/삭제  댓글쓰기

    기존의 대검찰청 피싱 사이트에 나오던 것과 다수 유사한 점을 고려하면 일부 문장를 조금 수정해서 유포하는 것 같습니다. 이런 방식으로 유포하는건 오늘 알았습니다..ㅎㅎ